Autor | Zpráva | ||
---|---|---|---|
petr_1 Profil * |
#1 · Zasláno: 16. 10. 2007, 11:04:58
Ahoj, nevíte někdo o něčem (web, prográmek), co "zaudituje" web na sql injection, tedy vypíše napadnutelné stránky?
|
||
Joker Profil |
#2 · Zasláno: 16. 10. 2007, 12:50:28 · Upravil/a: Joker
Pochybuju, že něco takového vůbec existuje, potenciální ohrožení lze automaticky zjistit poměrně těžko.
Taková základní metoda je poslat skriptu jako hodnotu proměnné, ze které se dělá SQL dotaz, následující řetězec: ' OR 1=1 případně jiný, začínající apostrofem. Pokud výsledkem bude jiný než očekávaný výstup z databáze anebo chybová hláška, je to potenciální bezpečnostní díra. edit: myslím chybová hláška databáze (případně PHP), ne chybová hláška webové stránky typu "Zadaný údaj není správný". |
||
petr_1 Profil * |
#3 · Zasláno: 16. 10. 2007, 13:28:53
Díky, bohužel bych potřeboval prověřit pár webů najednou a komplet... :-(
Někde jsem četl o programu, ale nedohledal jsem ho. |
||
info Profil * |
#4 · Zasláno: 16. 10. 2007, 13:50:19
nic takového neexistuje. Program t졞ko pozná jesli mu stránka vrátila správný. nebo špatný výstup
|
||
Časová prodleva: 17 let
|
0